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INTRODUQAO 


Nos ultimos anos, temos presenciado, perplexos, um cenario assustador: 
cibercriminosos trabalhando e “inovando” a uma velocidade muito maior do que os 
provedores de defesas conseguem acompanhar. Temos visto a comercializagao do 
cibercrime, com kits de malware e instrugoes detalhadas para realizar ataques sendo 
vendidos em comunidades clandestinas e vastas redes de botnets para ataques 
DDoS disponiveis para serem alugadas. Muitos cibercriminosos cooperam entre si, 
compartilhando codigos e informagoes para manterem seus artefatos maliciosos um 
passo a frente da industria de ciberseguranga. 

E fundamental que a ciberseguranga siga este mesmo caminho: compartilhamento 
de informagao. 

A medida em que mais e mais ataques ocorrem, aumenta a probabilidade de alguma 
organizagao ou grupo ter visto tal ataque antes. O conhecimento, portanto, existe de 
alguma forma, em algum lugar. Entretanto, precisa ser garimpado, validado e 
transformado em informagao acionavel. O objetivo da Threat Intelligence e fornecer 
a capacidade de reconhecer e atuar em tempo habil sobre indicadores de 
comprometimento (Indicators of Compromise - IOC). 

Existe uma conscience geral nas organizagoes da necessidade de se “ter” Threat 
Intelligence, porem ainda ha muita confusao sobre o que e e como deve ser entregue 
e consumida. 

Esse White Paper busca esclarecer o que realmente isso significa. A promessa e 
sedutora: ajudar as organizagoes a compreender e gerenciar o risco do negocio - 
dominar ameagas desconhecidas e mitiga-las, melhorando a eficacia da defesa 
cibernetica. 
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0 QUE E; 0 QUE NAO E 


Threat intelligence e informagao especffica sobre ameagas, gerada por alguma forma de processamento, 
tais como a coleta, validagao, correlagao, avaliagao e interpretagao de conhecimento baseado em 
evidencias - incluindo contexto, mecanismos, indicadores e implicagoes - sobre uma ameaga, existente ou 
emergente, que coloque em perigo ativos de informagao ou de tecnologia. Tal inteligencia pode ser usada 
para embasar decisoes sobre a resposta a tal ameaga ou risco. 

Vemos muitas vezes o termo Threat Intelligence sendo empregado em contextos inadequados, talvez 
numa tentativa de valorizar algum tipo de informagao que se pretenda divulgar. Entretanto, Threat 
Intelligence nao e: 

• informagao obvia, trivial ou evidente sobre uma ameaga, que urn indivfduo nao treinado seria 
capaz de discernir por si mesmo 

• informagao puramente sobre vulnerabilidades 

• mera analise de trafego de redes ou logs de seguranga 


COMO GERAR THREAT INTELLIGENCE? 


O termo “inteligencia” pode abranger diversos significados. No contexto aqui apresentado, inteligencia e o 
conhecimento transmitido ou adquirido atraves de estudo, pesquisa ou experience, fruto da associagao de 
informagoes, normalmente disponfveis em diversas fontes e diferentes formatos. Podemos entender, 
portanto, que se trata do resultado de urn processo, nao de urn mero conjunto de informagoes. 



Fig.: Processo de geragao de inteligencia 
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Nas organizagoes, as equipes de ciberseguranga tern a disposigao multiplas fontes de inteligencia para 
identificar ameagas ciberneticas. Porem, os analistas de seguranga acabam soterrados pela quantidade de 
informagoes e pela complexidade de operacionalizar e transformar a inteligencia em algo acionavel. E 
preciso muito esforgo para separar o “joio do trigo”, verificando e cruzando as fontes de inteligencia, para 
transformar compreensao em agao. 

O Gartner classifica o conteudo de Threat Intelligence em 2 tipos, nao sendo raro, entretanto, encontrar 
inteligencia que misture os dois: conteudo proveniente de aauisicao e analise ( acquisition and analysis 
content) e conteudo em tempo real para monitoramento e notificacao (real-time monitoring and notification 
content). O primeiro e tipicamente composto de analise narrativa contendo algum tipo de conteudo 
antecipatorio, com insight sobre os motivos e possiveis agoes futuras do cibercriminoso. Naturalmente, este 
tipo de inteligencia contem algum grau de incerteza, sendo util no planejamento de orgamentos e estrategias 
de defesa. O segundo tende a ser mais tecnico, sendo elaborado a partir de fontes com informagoes sobre 
a atividade operacional, que ja ocorreu em algum lugar do mundo. Feeds de enderegos IPs controladores 
de botnets sao urn exemplo deste tipo de inteligencia, que tende a ser determinfstico e confiavel, fornecendo 
agilidade para agoes e respostas em curto espago de tempo. Normalmente e entregue na forma de Machine- 
Readable Threat Intelligence (MRTI), que nada mais e do que Threat Intelligence em urn formato 
compreendido por maquinas. E, portanto, o conhecimento consolidado a partir de grandes quantidades de 
informagoes, provendo contexto para suportar agoes taticas e, por vezes, estrategicas, para equipes de 
ciberseguranga. Esta pronta para ser empregada em diversas tecnologias de seguranga, seja na nuvem ou 
na infraestrutura on-premises , pois ja foi traduzida de “linguagem humana” para urn formato machine- 
readable. 

Tratar tamanho volume de dados, com uma variedade virtualmente ilimitada de fontes de inteligencia sobre 
ameagas, gerada tanto externa quanto internamente, tanto em formato estruturado quanto desestruturado, 
requer a utilizagao de uma plataforma especifica para isto. As Threat Intelligence Platforms (TIP), dotadas 
de capacidade de lidar com big-data e analytics, devem ser capazes de enriquecer e correlacionar essa 
inteligencia sobre ameagas e possibilitar a geragao da MRTI para alimentagao de tecnologias como SIEM, 
sistemas de prevengao de intrusao (IPS), firewalls de proxima geragao (NGFW) e gateways de web. 
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COMO UTILIZAR THREAT INTELLIGENCE? 


Um cenario de ataque por ameagas avangadas pode levar-nos a fazer perguntas como: "quern nos tem 
como alvo?", "que metodos estao usando?", "que informagoes estao buscando?". Ter claro o que se quer 
saber sobre atores de ataques e seus metodos e como prevenir ou detectar ataques pode ajudar 
imensamente quando planejamos politicas e agoes de defesa. 

A utilizagao de Threat Intelligence pode reduzir significativamente a quantidade de incidentes de 
seguranga, bem como aumentar dramaticamente a velocidade de resposta aos incidentes detectados. Isto 
acontece gragas a redugao de falso-positivos pela validagao baseada em varios criterios, o que ajuda a 
oferecer visao, contexto e credibilidade no que diz respeito a informagao que esta sendo observada, como, 
por exemplo, se estamos tratando de um ataque isolado ou parte de um ataque direcionado amplamente 
a uma vertical de mercado. 

Para muitas organizagoes que utilizam Threat Intelligence, um desafio fundamental e como consumir e 
como agir sobre essa inteligencia. Ela pode ser usada de forma estrategica, para lastrear decisoes 
sobre a preparagao para uma ameaga, como forma de evitar ou reduzir o seu impacto potencial. Tambem 
pode ser usada de forma tatica, para responder a um incidente decorrente da ameaga, nas tarefas de 
identificagao, avaliagao, suporte forense e remediagao. 

Threat Intelligence Estrategica -» tipicamente consumida pelo C-level de uma organizagao. Sua 
finalidade e ajudar a compreender riscos correntes e a identificar outros riscos potenciais. Trata de 
conceitos de alto nivel de risco e probabilidades, ao inves de aspectos tecnicos, para orientar as decisoes 
estrategicas de negocios. Normalmente e apresentada como relatorios ou briefings. 

Threat Intelligence Tatica -» informagao sobre como atores de ameagas (threat actors) estao realizando 
ataques; que ferramentas, tecnicas e processos (tools, techniques and processes - TTPs) estao sendo 
utilizados. E consumida por defensores e times de resposta a incidentes, para garantir que seus 
mecanismos de defesa, alertas e investigagao estao preparados para as taticas de ataque atuais. Este 
tipo de inteligencia muitas vezes tem uma vida curta, ja que os atores podem facilmente alterar os 
enderegos IP de origem ou modificar hashes de arquivos. Dai a necessidade de consumir tal inteligencia 
de forma automatizada e de atualiza-la com enorme frequencia. 
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Sobre a Arcon 


Atuando no mercado nacional desde 1995, a Arcon e especializada em seguranga de Tl com foco em servigos 
gerenciados de seguranga (MSS - Managed Security Services). Com urn completo portfolio e solidas parcerias com 
os principais fabricantes do mundo, a empresa monitora e gerencia ambientes, mitiga os riscos e previne incidentes 
em empresas de grande porte. A partir de seus SOCs, a Arcon processa +2 bilhoes de eventos por dia, protege 
mais de 600.000 ativos e possui inteligencia de seguranga unica na America Latina. 

E a unica empresa de servigos gerenciados de seguranga no ranking Exame PME 2015 das empresas que mais 
crescem no Brasil. Nos ultimos anos, firmou-se como lider no mercado brasileiro de MSS, tendo conquistado, o 
primeiro lugar em MSS no ranking Anuario Outsourcing por 4 anos consecutivos. www.arcon.com.br 
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